中国はマルウェアによるウイグル族の監視活動を数年にわたって行っていたと判明

中国で新疆ウイグル自治区に住むウイグル族をターゲットとして、マルウェアによる監視活動が数年にわたり行われていたことを、セキュリティソフト開発を行うLookoutが2020年7月1日(水)に公表しました。Lookoutが発見したのはAndroidデバイスで動作する4種類のマルウェアで、ウイグル族だけでなく中国国外のイスラム教徒もターゲットになっていた可能性があると報告されています。

lookout-uyghur-malware-tr-us.pdf
(PDFファイル)https://www.lookout.com/documents/threat-reports/us/lookout-uyghur-malware-tr-us.pdf

Multiyear Surveillance Campaigns Discovered Targeting Uyghurs
https://blog.lookout.com/multiyear-surveillance-campaigns-discovered-targeting-uyghurs

Research finds Uighurs targeted by Chinese spyware as part of surveillance campaign | TheHill
https://thehill.com/policy/cybersecurity/505518-research-finds-uighurs-targeted-by-chinese-spyware-as-part-of

Lookoutの調査チームが発見したマルウェアは、SilkBean、DoubleAgent、CarbonSteal、GoldenEagleという名前の監視ツール。主にウイグル族を標的とする、不正なマルウェアによる監視は2013年頃から行われていたとLookoutは報告しています。監視ツールの主な目的はユーザーの個人情報を収集することで、マルウェアはAndroid向けアプリをトロイの木馬として個人のデバイスにインストールされていました。

4種類のマルウェアが潜んでいたアプリは、「Sarkuy(ウイグル語の音楽サービス)」「TIBBIYJAWHAR(ウイグル語の薬学アプリ)」「Tawarim(ウイグル語のネットショップ)」などのAndroid向けアプリ。これらのアプリを精査したところ、監視の対象は中国国内のウイグル族だけでなく、少数のチベット族や中国国外に住むウイグル族も標的にされていたことが明らかになっています。

さらに、Lookoutの調査により、「Turkey Navigation(トルコのナビゲーション)」「A2Z Kuwait FM Radio(クウェートのFMラジオ)」「Syria News(シリアニュース)」といったAndroid向けアプリでもマルウェアによる監視が行われており、中国だけでなくトルコ、クウェート、シリアなど、少なくとも14カ国のイスラム教徒もマルウェアによる監視の対象となっていた可能性があることも判明しています。

中国では、過去にも新疆ウイグル自治区への旅行者が持つスマートフォンに、国境警備隊が監視用のアプリを強制的にインストールするという行為が発覚していました。

ウイグル自治区を訪れる旅行者のスマホには監視用スパイアプリが強制的にインストールされていることが判明 - GIGAZINE

Lookoutは、中国政府が2014年に発生した昆明駅での暴力テロ事件をきっかけに暴力テロに対する取り締まりを強化したことから、以前から行われたマルウェアによるウイグル族の監視も一層強化されたと推測しています。

また、Lookoutはマルウェアによる監視活動が、中国に拠点を置く複数のハッカー集団のAPT15、Ke3chang、Mirage、Vixen Panda、Playful Dragonなどと関連している可能性があるとも示唆しています。

なお、マルウェアの影響を受けている監視アプリはすべてフィッシングメールおよびフィッシングサイト、または偽のアプリストアによって配布されたもので、「Google Playから配信されたアプリではない」とLookoutは報告しており、正規のストア以外からアプリをダウンロードすることの危険性を指摘しました。